1、什么是sql注入

　　SQL 注入是用户利用某些系统没有对输入数据进行充分的检查，从而进行恶意破坏的行为。　　

　　例如登录用户名采用  ' or 1=1 or username=‘，后台数据查询语句就变成

　　sql = select * from users where username='' or 1=1 or username='' and password='"+password+"'"，由于sql中and的优先级比or高，所以整条查询语句等价于：

　　sql = select * from users where true;这样就造成随意登录

 

2、预防sql注入

PreperedStatement是Statement的孩子，它的实例对象可以通过调用Connection.preparedStatement()方法获得，相对于Statement对象而言：PreperedStatement可以避免SQL注入的问题。Statement会使数据库频繁编译SQL，可能造成数据库缓冲区溢PreparedStatement 可对SQL进行预编译，从而提高数据库的执行效率。并且PreperedStatement对于sql中的参数，允许使用占位符的形式进行替换，简化sql语句的编写。 

 

1 public void add(User user) { 2         Connection conn = null; 3         PreparedStatement st = null; 4         ResultSet rs = null; 5         try{ 6             conn = JdbcUtils.getConnection(); 7             String sql = "insert into users(id,username,password,email,birthday,nickname) values(?,?,?,?,?,?)";//利用占位符 8             st = conn.prepareStatement(sql); 9             st.setString(1, user.getId());10             st.setString(2, user.getUsername());11             st.setString(3, user.getPassword());12             st.setString(4, user.getEmail());13             st.setDate(5, new java.sql.Date(user.getBirthday().getTime()));14             st.setString(6, user.getNickname());15             int num = st.executeUpdate();16             if(num<1){17                 throw new RuntimeException(”用户不存在");18             }19         }catch (Exception e) {20             throw new DaoException(e); 21         }finally{22             JdbcUtils.release(conn, st, rs);23         }24         25         26     }